คำถามติดแท็ก api-key

14
วิธีปฏิบัติที่ดีที่สุดสำหรับการจัดเก็บและปกป้องคีย์ API ส่วนตัวในแอปพลิเคชัน [ปิด]
ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน9 เดือนที่ผ่านมา นักพัฒนาแอพส่วนใหญ่จะรวมห้องสมุดบุคคลที่สามเข้ากับแอพของพวกเขา ถ้าเป็นการเข้าถึงบริการเช่น Dropbox หรือ YouTube หรือการบันทึกการขัดข้อง จำนวนไลบรารีและบริการของบุคคลที่สามกำลังส่าย ไลบรารี่และบริการส่วนใหญ่นั้นได้รับการบูรณาการโดยการรับรองความถูกต้องกับบริการส่วนใหญ่แล้วเกิดขึ้นผ่านคีย์ API เพื่อวัตถุประสงค์ด้านความปลอดภัยบริการมักจะสร้างสาธารณะและเอกชนมักจะเรียกว่าเป็นความลับที่สำคัญ น่าเสียดายที่เพื่อเชื่อมต่อกับบริการคีย์ส่วนตัวนี้จะต้องใช้ในการตรวจสอบและด้วยเหตุนี้อาจเป็นส่วนหนึ่งของแอปพลิเคชัน ไม่จำเป็นต้องพูดเลยว่าสิ่งนี้กำลังเผชิญกับปัญหาด้านความปลอดภัยอันยิ่งใหญ่ คีย์ API สาธารณะและส่วนตัวสามารถดึงมาจาก APK ในเวลาไม่กี่นาทีและสามารถเป็นอัตโนมัติได้อย่างง่ายดาย สมมติว่าฉันมีบางสิ่งที่คล้ายกันนี้ฉันจะป้องกันรหัสลับได้อย่างไร: public class DropboxService { private final static String APP_KEY = "jk433g34hg3"; private final static String APP_SECRET = "987dwdqwdqw90"; private final static AccessType ACCESS_TYPE = AccessType.DROPBOX; …

3
คีย์ API และคีย์ลับทำงานอย่างไร จะปลอดภัยหรือไม่หากฉันต้องส่งผ่าน API และรหัสลับไปยังแอปพลิเคชันอื่น
ฉันเพิ่งเริ่มคิดว่าคีย์ api และคีย์ลับทำงานอย่างไร เพียง 2 วันที่ผ่านมาฉันลงทะเบียนสำหรับ Amazon S3 และติดตั้งปลั๊กอิน S3Fox พวกเขาขอให้ฉันใช้ทั้งรหัสการเข้าถึงและรหัสการเข้าถึงแบบลับซึ่งทั้งสองอย่างนั้นต้องการให้ฉันเข้าสู่ระบบเพื่อการเข้าถึง ดังนั้นฉันสงสัยว่าถ้าพวกเขาถามฉันถึงรหัสลับของฉันพวกเขาจะต้องเก็บมันไว้ที่ไหนสักแห่งใช่มั้ย นั่นเป็นสิ่งเดียวกับการขอหมายเลขบัตรเครดิตหรือรหัสผ่านของฉันและเก็บไว้ในฐานข้อมูลของตัวเองหรือไม่ คีย์ลับและคีย์ API ควรทำงานอย่างไร พวกเขาจำเป็นต้องมีความลับแค่ไหน? แอปพลิเคชันเหล่านี้ที่ใช้รหัสลับจัดเก็บอย่างใดหรือไม่?

6
คีย์ API คืออะไร? [ปิด]
ปิด . คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ขณะนี้ยังไม่ยอมรับคำตอบ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เน้นไปที่ปัญหาเดียวโดยแก้ไขโพสต์นี้เท่านั้น ปิดให้บริการใน2 ปีที่ผ่านมา ปรับปรุงคำถามนี้ ฉันเห็นคำนี้ในเกือบทุกแอปพลิเคชันข้ามบริการในปัจจุบัน คีย์ API คืออะไรและใช้อย่างไร นอกจากนี้คีย์ API สาธารณะและคีย์ส่วนตัวแตกต่างกันอย่างไร

9
คีย์ Googlemaps API สำหรับ Localhost
ฉันจะรับคีย์ googlemaps api เพื่อทำงานบน localhost ได้อย่างไร ฉันได้สร้างคีย์ API และภายใต้ผู้อ้างอิงฉันเพิ่มสิ่งต่อไปนี้: Accept requests from these HTTP referrers (websites) (Optional) Use asterisks for wildcards. If you leave this blank, requests will be accepted from any referrer. Be sure to add referrers before using this key in production. localhost สิ่งนี้ใช้ไม่ได้และถ้าฉันไม่รวมคีย์ api มันก็ใช้ไม่ได้เช่นกัน?

5
เหตุใดจึงต้องใช้คีย์ API และความลับ
ฉันเจอ API มากมายที่ให้ทั้งคีย์ API และความลับแก่ผู้ใช้ แต่คำถามของฉันคืออะไรคือความแตกต่างระหว่างทั้งสอง? ในสายตาของฉันกุญแจดอกเดียวก็เพียงพอแล้ว สมมติว่าฉันมีคีย์และมีเพียงฉันและเซิร์ฟเวอร์เท่านั้นที่รู้ ฉันสร้างแฮช HMAC ด้วยคีย์นี้และทำการเรียก API บนเซิร์ฟเวอร์เราสร้างแฮช HMAC อีกครั้งและเปรียบเทียบกับแฮชที่ส่ง หากเหมือนกันแสดงว่ามีการตรวจสอบสิทธิ์การโทร ทำไมต้องใช้สองปุ่ม? แก้ไข:หรือคีย์ API นั้นใช้เพื่อค้นหาข้อมูลลับของ API หรือไม่

4
ใช้คีย์ลับ api บน travis-ci
ฉันต้องการที่จะใช้เทรวิส-CIหนึ่งของฉันโครงการ โปรเจ็กต์นี้เป็น API Wrapper ดังนั้นการทดสอบจำนวนมากจึงอาศัยการใช้คีย์ API ลับ เพื่อทดสอบในพื้นที่ฉันเพียงแค่เก็บไว้เป็นตัวแปรสภาพแวดล้อม วิธีที่ปลอดภัยในการใช้คีย์เหล่านี้กับ Travis คืออะไร?

5
แนวทางที่ดีที่สุดในการสร้างคีย์ API ใหม่คืออะไร
ดังนั้นด้วยบริการที่แตกต่างกันมากมายในตอนนี้ Google APIs, Twitter API, Facebook API และอื่น ๆ แต่ละบริการมีคีย์ API เช่น: AIzaSyClzfrOzB818x55FASHvX4JuGQciR9lv7q คีย์ทั้งหมดมีความยาวและอักขระที่แตกต่างกันไปฉันสงสัยว่าวิธีที่ดีที่สุดในการสร้างคีย์ API คืออะไร? ฉันไม่ได้ขอภาษาใดภาษาหนึ่งเป็นเพียงวิธีการทั่วไปในการสร้างคีย์หากเป็นการเข้ารหัสรายละเอียดของแอปผู้ใช้หรือแฮชหรือแฮชของสตริงแบบสุ่ม ฯลฯ เราควรกังวลเกี่ยวกับอัลกอริทึมแฮช (MSD, SHA1, bcrypt) ฯลฯ ? แก้ไข: ฉันได้พูดคุยกับเพื่อนสองสามคน (อีเมล / ทวิตเตอร์) และพวกเขาแนะนำให้ใช้ GUID โดยมีเครื่องหมายขีดกลาง ดูเหมือนว่าจะเป็นเรื่องเล็กน้อยสำหรับฉัน แต่หวังว่าจะได้รับแนวคิดเพิ่มเติม
92 security  api-key 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.